26/04/2019
Brexit en GDPR zijn twee termen waar het laatste jaar niet aan te ontsnappen viel. Bedrijven die zich nu hebben aangepast aan de GDPR, maken zich zorgen over de gegevensoverdracht naar de UK na de Brexit. Gaan we nog gegevens kunnen doorsturen? En hoe kunnen we ons daarop voorbereiden?
Brexit
Op 23 juni 2016 besloten de Britten met een nipte meerderheid in een referendum dat ze de EU wilden verlaten. In twee jaar tijd moest er een akkoord komen op basis waarvan de UK de EU kon verlaten.
Wat eenvoudig werd voorgesteld aan het britse publiek (stem voor de Brexit, krijg meer autonomie), blijkt nu twee jaar later toch niet zo eenvoudig. Er is nog altijd geen consensus in de UK over het akkoord en de deadline die de EU gegeven had (29 maart 2019) is al opgeschoven naar 31 oktober 2019.
Aangezien het britse parlement de Brexit Deal die Theresa May heeft onderhandeld met de EU, blijft wegstemmen en de vooropgestelde deadline niet werd gehaald, is de kans op een Brexit die niet geregeld wordt door een uittredingsverdrag significant groter geworden.
Om de chaos te vermijden die ongetwijfeld gepaard zou gaan met een no deal-Brexit, heeft de Europese Commissie een gemeenschappelijke aanpak opgesteld die door de lidstaten moet worden gevolgd in geval van een no deal-Brexit.
GDPR
Ook in het kader van gegevensbescherming heeft de Commissie een aanpak uitgewerkt. Het is eigenlijk heel eenvoudig: de regels die nu van toepassing zijn op de uitwisseling van gegevens met derde landen, worden na de Brexit van toepassing op de UK, die dan als derde land beschouwd zal worden.
Een uitzondering hierop zou kunnen zijn dat de EU nog een adequaatheidsbesluit uitvaardigt over de UK, waardoor gegevens doorgegeven kunnen worden zonder aanvullende waarborgen.
Stappenplan
Zoals eerder al werd aangehaald, is de EU zich aan het voorbereiden op een no deal-Brexit. Om bedrijven op weg te helpen, heeft ze een vijfstappenplan opgesteld dat bedrijven kunnen volgen om zich voor te bereiden op een no deal.
Stap 1. Bepaal welke verwerkingsactiviteiten een gegevensoverdracht naar de UK vereisen
Bedrijven moeten nagaan welke gegevens ze naar de UK versturen, en of dat persoonsgegevens zijn zoals gedefinieerd wordt in de GDPR.
Stap 2. Bepaal de gepaste grond voor de gegevensoverdracht
De mogelijke gronden op basis waarvan gegevens verstuurd kunnen worden, worden in de volgende titel vermeld.
Stap 3. Implementeer de gekozen grond voor gegevensoverdracht op tijd
Wanneer de juiste grond voor gegevensoverdracht is vastgesteld, moet deze natuurlijk geïmplementeerd worden, en liefst op tijd. Tegenwoordig staat de deadline voor de Brexit op 31 oktober 2019, maar niemand weet of deze dan ook effectief gaat plaatshebben.
Stap 4. Geef aan in interne documenten dat er een gegevensoverdracht naar de UK plaatsvindt
Transparantie is alles. Bedrijven moeten er voor zorgen dat er in hun interne documenten melding wordt gemaakt van het doorsturen van de persoonsgegevns naar de UK.
Stap 5. Pas je Privacy Policy aan zodat individuen er van op de hoogte zijn.
Bedrijven moeten er voor zorgen dat klanten er van op de hoogte zijn dat hun gegevens doorgestuurd zullen worden naar de UK, een derde land.
Hoe kan je nog informatie naar de UK sturen?
Zoals daarjuist werd vermeld, moeten bedrijven de juiste grond kiezen op basis waarvan ze gegevens kunnen doorsturen naar de UK. Zonder adequaatheidsbesluit, kan op basis van de volgende gronden een gegevensoverdracht plaatsvinden:
- Standaard en ad hoc clausules voor gegevensbescherming
Europese bedrijven kunnen met hun tegenhangers in de UK gebruik maken van de Standaard Gegevensbeschermingsclausules die zijn goedgekeurd door de Commissie. Dit is eigenlijk een modelcontract op basis waarvan gegevens kunnen worden doorgestuurd naar derde landen.
- Bindende bedrijfsregels
Dit slaat op het gegevensbeschermingsbeleid dat binnen een groep gevoerd wordt om op die manier te voorzien in het veilig overdragen van gegevens binnen de onderneming. Ondernemingen die nu nog bindende bedrijfsregels willen opstellen, hebben de goedkeuring van de nationale databeschermingsautoriteit nodig en een advies van de European Data Protection Board.
- Gedragscodes en certificeringsmechanismen
Een gedragscode of een certificeringsmechanisme kan passende garanties bieden voor de doorgifte van persoonsgegevens, als deze bindende en afdwingbare verplichtingen bevatten ten aanzien van de organisatie in het derde land ten voordele van de natuurlijke personen. Ook deze gedragscodes moeten worden goedgekeurd door (indien een bedrijf in België betreft) de Gegevensbeschermingsautoriteit of door de European Data Protection Board (indien de verwerking betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten).
In specifieke situaties kan er een uitzondering gemaakt worden op bovenstaande regels en kunnen gegevens worden doorgestuurd op basis van uitzonderingen opgenomen in de GDPR. Onder andere toestemming of noodzakelijkheid voor het uitvoeren van de overeenkomst, worden als uitzonderingen aangemerkt.
Conclusie
Er moet dus tot de conclusie gekomen worden dat, ondanks de Brexit, de GDPR toch van toepassing blijft. Het gene wat verandert, is dat de UK beschouwd gaat worden als een derde land in plaats van een lidstaat.
Gezien de UK de GDPR nog geïmplementeerd heeft, kunnen we er wel van uitgaan dat de UK voldoende waarborgen biedt voor de doorgestuurde gegevens en dat gegevensuitwisseling mogelijk zal blijven.
Natuurlijk blijft het wachten op het moment dat de UK de EU effectief verlaat. In deze blog zijn we uitgegaan van een no deal-Brexit, maar wie weet krijgt Theresa May haar deal toch nog door het parlement.
Als u benieuwd bent naar wat de concrete gevolgen voor uw bedrijf zullen zijn, aarzel dan niet contact met ons op te nemen.
Geschreven door Johanna Coppens
